导读 sms exe，smss exe是什么进程很多人还不知道，今天乐天来为大家解答以上问题，现在让我们一起来看看吧！SMSS病毒是Windows下的PE病毒。它

sms.exe，smss exe是什么进程很多人还不知道，今天乐天来为大家解答以上问题，现在让我们一起来看看吧！

SMSS病毒是Windows下的PE病毒。它是用VB6写的，是一种木马病毒，自动访问一个站点(3721)。该病毒会在注册表的几个地方添加自己的启动密钥，修改系统文件WIN。并添加' RUN'='%WINDIR%\SMSS。WINDOWS注册表项中的“EXE”文件。症状：确定没被骗就去检查一下！如果系统进程中有两个smss.exe进程，其中的smss.exe路径是“WINDOWS\SMSS”。然后是TrojanClicker。没有，病毒被感染了。

SMSS分析和病毒判断

正常的smss.exe(会话管理器子系统)进程是用于初始化系统变量的会话管理子系统。MS-DOS驱动的名字类似于LPT1和COM，调用Win32 shell子系统，运行在Windows登录进程中。它是一个会话管理子系统，负责启动用户会话。该进程由系统进程初始化并反映许多活动，包括已经运行的Winlogon、Win32(Csrss.exe)线程和set系统变量。启动这些进程后，它会等待Winlogon或Csrss完成。如果这些过程正常，系统将被关闭。如果发生意外，smss.exe会让系统停止响应(挂断)。注意：如果系统中有多个smss.exe进程，并且某些smss.exe路径是“%WINDIR%\SMSS”。EXE”，肯定是被病毒或者木马感染了。[1]

SESS清洁流程(和ROSE):

ADOBER，这两个小垃圾是不一样的。简单的清理相关病毒文件，修改注册表，更改启动项是没有用的。那时候太浪费时间了。所以说这个木马病毒高级就麻烦了。

步骤：手动查杀病毒时，清除前做好文件夹选项，养成好习惯。隐藏文件，并勾掉隐藏受保护的操作系统文件的钩。

第一步

运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其他规则，右键点击右边窗口空白处的‘新建哈希规则’。所以smss.exe不会再跑了。

第二步

跑Procexp.exe(如果没必要，可以去下一个。这个东西很别扭也很好用)，然后结束%Windows%\SMSS。EXE进程。注意路径。如果系统的SMSS完成，它将被重新启动。当然，您也可以使用ntsd命令在任务管理器中关闭smss.exe进程。结束并防止它再次开始是手动清理SMSS.EXE病毒的关键。ROSE和其他人可以结束它的进程，删除文件，改变注册表。如果不执行第一步和第二步，就无法识别SMSS病毒。

第三步

接下来，删除以下文件：C:\MSCONFIG。[计]系统复制命令（system的简写）

下列文件名也将出现在注册表中。我忘了是哪些了。如果您进行搜索，您可以修改或删除它们。呵呵，对了，还有一个哇。你搜索注册表看看有没有几个？

%Windows%\1(您在注册表中找到它了吗？哈哈，你知道怎么做吗？)

% Windows % \ exe route . exe % Windows % \ explorer % Windows % \ finder

% Windows % \ smss . exe % Windows % \ Debug \ Debug program . exe % System % \ command . pif

% System % \ dxdiag % System % \ finder % System % \ MSCONFIG

% System % \ regedit % System % \ rundll 32% program files % \ Internet

explorer \ ie xplore % Program Files % \ Common Files \ ie xplore . pif % Program

Files%\sfx software\svchost.exe其他关联木马木马路径：C:\WINDOWS\system32\cns.exe

木马路径：C:\WINDOWS\system32\cns.dll木马路径：C:\ WINDOWS \ system32 \ command . pif

木马路径：C:\WINDOWS\system32\MSCONFIG木马路径：C:\WINDOWS\system32\dxdiag

木马路径：C:\WINDOWS\system32\regedit

木马路径：c:\ windows \ system32 \ drivers \ cnsminkp . sys，然后删除注册表中的以下项：

[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run]' Torjan

程序“=”% Windows % \ smss . exe

(直接搜索注册表更安全更全面)在[HKEY _本地_机器\软件\微软\ Windows NT \ current version \ winlogon]下修改。

Shell'='Explorer.exe 1 '是' Shell'='Explorer.exe '

以下步骤不用操作，但最好扫描一下：分别查找command.pif、finder、rundll32的信息，改成rundll32.exe。

查找“explorer”的信息，将“explorer”改为“explorer.exe”

找到“iexplore”的信息，将“iexplore”改为“iexplore.exe”

查阅iexplore.pif的资料，会发现“%ProgramFiles%\Common”

“Files\iexplore.pif”更改为“% program Files % \ internet explorer \ ie xplore . exe”

有些可能找不到了。没关系。同时找到文件并删除(比如这个木马创建于2006年6月18日。

在15: 51，你只需搜索6-18创建的所有文件。当然时间应该是一样的，但是不要误删了。)如果你找不到他们，那最好，也就是说他们已经不存在了。SMSS.EXE病毒相关的文件都有相同的大小112K。反正我这里有这样的尺码，网上其他的和我写的不一样。在这里，你可以用一些修复软件来恢复系统，当然也不一定非要修复。等等，那你就不能运行EXE文件了。你要用同样的方法打开一个视频。现在我们来修改注册表：不要输入运行过程中打不开的东西。方法一：将WINDOWS目录下的regedit.exe复制到桌面并重命名为regedit，然后打开regedit找到以下分支：HKEY _类_根\ EXEFILE \ shell \ open \ command，双击

(默认)值，设置为' % 1 ' % *[包括引号]，然后查找：HKEY _类_根\。exe双击右侧窗口中的(默认)值，并将其设置为

然后，Exefile退出注册表编辑器并重新启动计算机。方法二：将WINDOWS\system32目录下的cmd.exe复制到桌面，重命名为cmd。

命令行，依次执行以下命令：ftype exefile=' % 1 ' % *[含引号] (enter) assoc。exe=exefile来重新启动计算机。

至此，SMSS.EXE病毒已被成功清除。

编辑本段中的预防措施。

序

防范措施：在WINDOWS目录下创建一个SMSS.EXE文件，设置为“只读”，这样就不会再感染木马了。这种说法纯属P，SMSS病毒是利用IE漏洞传播的，随便打开一个网页就可能中毒。最好制作下一个补丁来防止这种病毒。

特定方法

1.使用杀毒软件清除内存中的病毒进程。k4mm.exe SVC h0 ST _。exe qqwb.exe InternetExplorer.exe

smss.exe

2.在电脑上搜索k4mm.exeSVC h0 ST _。exe smss.exe qqwb.exe

等待病毒文件并手动删除它们，尤其是在K4MM.exe和smss.exe。

这两个文件不能被目前的杀毒软件识别为病毒。

3.在注册表中搜索键值为C:\winnt\smss.exe的条目，并将其全部删除。

如果没有杀毒软件，我们就要启动安全模式，手动清理。

Win2k和winxp用户：

在注册表中查找HKEY本地机器软件微软视窗。

NT\CurrentVersion\Winlogon下的Shell键值，修改为Explorer.exe

Win98和winme用户：

查找system.ini，在其中查看以下内容：

shell=Explorer.exe

如果没有，修改成上面的内容。

另外，检查run和runservice的键值，看是否有对应的启动项。

本文到此结束，希望对大家有所帮助。